정용환 기자
2월 2일 지난해 EU에서 시행된 AI법 첫 번째 준법 기한이 도래했다. 이 법률로 인해 EU가 용인할 수 없는 위험을 수반하는 AI 시스템 사용이 제한되지만 이번 기한은 어디까지나 형식적인 것이며 실제로 벌금이나 강제 집행 등이 실시되는 건 아직 멀었다고 전문가가 지적하고 있다.
AI법(Artificial Intelligence Act)은 지난 2024년 8월 1일 EU에서 시행됐다. 구체적인 내용으로는 AI를 사용해 발생하는 위험을 고려해 위험 크기에 따라 AI 사용을 제한하는 것이다. 예를 들어 이메일 클라이언트 스팸 필터는 최소 위험으로 분류되어 규제 당국 감시를 받지 않는다. 고객 서비스용 챗봇은 제한적 위험으로 분류되어 규제 당국으로부터 최소한의 감시를 받고 헬스케어 관련 조언을 하는 AI는 고위험으로 분류되어 규제 당국의 엄격한 감시를 받는다. 이를 넘어서는 위험을 수반하는 것 예를 들어 감시 카메라 영상을 분석해 얼굴 인식 데이터베이스를 만드는 AI는 용인할 수 없는 위험으로 분류되어 사용이 완전히 금지된다.
용인할 수 없는 위험으로 분류되는 행위에 대한 예를 살펴보면 사회신용시스템에 사용되는 AI, 예를 들어 사람의 행동을 기반으로 위험 평가를 하는 것, 외모로 범죄자를 예측하려는 AI, 잠재의식적 또는 기만적으로 사람의 의사결정을 조작하는 AI, 연령, 장애, 사회경제적 지위 등을 악용하는 AI, 생체인증을 사용해 성적 지향 등 특징을 추측하는 AI, 법 집행 목적으로 공공장소에서 실시간 생체 데이터를 수집하는 AI, 직장이나 학교에서 사람의 감정을 추측하려는 AI 등이다.
2025년 2월 2일은 AI법 첫 번째 준법 기한이며 AI를 사용하는 기업은 AI법이 규정하는 컴플라이언스를 준수해야 한다. EU 역내에서 용인할 수 없는 위험에 해당하는 AI를 사용하고 있는 게 밝혀진 기업은 본사 소재지와 관계없이 최대 3,500만 유로 또는 전 회계연도 연간 매출의 7% 중 더 큰 벌금이 부과될 수 있다.
다만 한 전문가는 이 벌금은 당분간 발동되지 않을 것이라며 기업이 주의해야 할 다음 큰 기한은 2025년 8월로 그때까지 관할 당국이 정해지고 벌금과 강제 집행의 규정이 발효될 것이라고 지적했다. AI법에서는 시행 후 6개월 후인 2025년 2월 사용이 금지되고 9개월 뒤 AI 개발자 행동 규범 책정이 시작되며 1년 뒤인 2025년 8월에는 챗GPT 등 AI 기업이 모델이 새로운 투명성 요건을 준수하고 안전하며 사용자에게 쉽게 설명 가능하다는 걸 보여줘야 한다. 이어 2026년 8월까지는 AI법 제반 규칙이 EU에서 사업을 영위하는 모든 기업에 적용되게 된다.
2024년 9월에는 100개 이상 기업이 EU법에 서명하고 AI법 적용 시작에 앞서 AI법을 준수한다는 자발적인 서약을 맺었다. 여기에는 아마존, 구글, 오픈AI 등이 서명했으며 AI법 하에서 고위험으로 분류될 가능성이 높은 AI 시스템을 특정하기로 약속했다. 반면 메타와 애플, 프랑스 AI 기업인 미스트랄AI는 서명을 보류했다.
전문가는 AI법이 다른 법률과 어떤 관계를 맺게 될지도 아직 알 수 없다면서 GDPR(일반 데이터 보호 규칙) 등 다른 법적 틀이 AI법과 중복될 가능성도 있다고 지적하며 기업은 명확한 기준과 가이드라인이 정부에 의해 제시되기를 기다려야 한다는 의견을 보였다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
이석원 기자
